SR安全網(wǎng)關(guān)操作手冊(cè)102.doc

SRX 安全網(wǎng)關(guān)操作手冊(cè)安全網(wǎng)關(guān)操作手冊(cè) 神州數(shù)碼 中國(guó) 有限公司神州數(shù)碼 中國(guó) 有限公司 二零一零年六月二零一零年六月 目 錄 1 總體概述總體概述 7 1 1 文檔術(shù)語(yǔ) 7 2 SRX 基本操作基本操作 8 2 1 通過(guò) Console 線纜連接路由器 8 2 2 設(shè)備關(guān)閉 10 2 3 設(shè)備重啟 10 2 4 JUNOS 升級(jí) 11 2 5 密碼恢復(fù) 11 3 SRX 基本管理配置介紹基本管理配置介紹 12 3 1 JUNOS CLI 12 4 SRX 開(kāi)機(jī)配置過(guò)程開(kāi)機(jī)配置過(guò)程 14 4 1 SRX 硬件設(shè)備簡(jiǎn)介 14 4 1 1SRX 240 面板圖 14 4 1 2SRX 210 面板圖 15 4 1 3SRX 100 面板圖 15 4 2 SRX 安裝流程 15 4 3 開(kāi)始配置 15 4 3 1開(kāi)機(jī)登錄 16 4 3 2清空默認(rèn)配置 16 4 3 3從所有配置清空后開(kāi)始配置 17 5 常用故障診斷命令常用故障診斷命令 20 查看端口狀態(tài) 20 查看路由表 20 查看 OSPF 鄰居關(guān)系 20 Ping 21 Traceroute 21 監(jiān)控接口流量 21 監(jiān)控 RE CPU 利用率 22 監(jiān)控并發(fā)會(huì)話(huà)數(shù) 22 冷卻系統(tǒng)故障檢查 22 機(jī)箱硬件組件故障檢查 23 6 設(shè)備日常維護(hù)設(shè)備日常維護(hù) 24 日常維護(hù)步驟 24 配置文件查看 24 配置文件提交 24 7 SRX 常用功能及典型配置常用功能及典型配置 25 7 1 SRX 常用功能配置 25 7 2 SRX 一個(gè)典型配置 28 6 硬件返修及硬件返修及 CASE 信息信息 34 一般性免責(zé)說(shuō)明 神州數(shù)碼 中國(guó) 有限公司力求確保 Juniper SRX防火墻快速安裝手冊(cè) 中信息 的準(zhǔn)確性 但不對(duì)信息的準(zhǔn)確性承擔(dān)任何責(zé)任 神州數(shù)碼 中國(guó) 有限公司可能隨時(shí)更改 本 手冊(cè) 中提到的產(chǎn)品或調(diào)試命令等技術(shù) 恕不另行通知 神州數(shù)碼 中國(guó) 有限公司及其供應(yīng)商不對(duì)因使用本 手冊(cè) 或任何Juniper網(wǎng)絡(luò)公 司產(chǎn)品或服務(wù)而導(dǎo)致的任何間接 特殊 引致或意外損失而承擔(dān)任何責(zé)任 包括但不限于 利潤(rùn)或收入損失 替換產(chǎn)品或服務(wù)的成本 數(shù)據(jù)丟失或破壞 或使用或依賴(lài)使用本文提供 的信息而造成的損失 即使Juniper 網(wǎng)絡(luò)公司或其供應(yīng)商事先已得知發(fā)生此類(lèi)損失的可 能性 本 手冊(cè) 中介紹的許多Juniper 網(wǎng)絡(luò)公司產(chǎn)品和服務(wù)都提供了書(shū)面軟件許可和有 限保修 這些許可和保修為此類(lèi)產(chǎn)品的購(gòu)買(mǎi)者提供某些權(quán)利 本 手冊(cè) 不應(yīng)被視為擴(kuò)展 更改或修改Juniper 網(wǎng)絡(luò)公司為任何Juniper 網(wǎng)絡(luò)公司產(chǎn)品提供的任何保證或許可 或 創(chuàng)建任何新的或附加的保證或許可 前言 Juniper 網(wǎng)絡(luò)公司介紹網(wǎng)絡(luò)公司介紹 Juniper網(wǎng)絡(luò)公司致力于實(shí)現(xiàn)網(wǎng)絡(luò)商務(wù)模式的轉(zhuǎn)型 作為全球領(lǐng)先的聯(lián)網(wǎng)解決方案和 安全性解決方案供應(yīng)商 Juniper網(wǎng)絡(luò)公司對(duì)依賴(lài)網(wǎng)絡(luò)獲得戰(zhàn)略性收益的客戶(hù)一直給予密 切關(guān)注 該公司的客戶(hù)來(lái)自于全球各行各業(yè) 包括第一流的網(wǎng)絡(luò)運(yùn)營(yíng)商 企業(yè) 政府機(jī)構(gòu) 以及研究和教育機(jī)構(gòu)等 Juniper網(wǎng)絡(luò)公司推出的一系列聯(lián)網(wǎng)解決方案 提供所需的安全 性和性能來(lái)支持全球最大型 最復(fù)雜 要求最嚴(yán)格的關(guān)鍵網(wǎng)絡(luò) 其中包括全球頂尖的25 家服務(wù)供應(yīng)商和 財(cái)富 全球500 強(qiáng)企業(yè)前15強(qiáng)中的8個(gè)企業(yè) Juniper網(wǎng)絡(luò)公司成立的唯一宗旨是 預(yù)測(cè)并解決業(yè)內(nèi)最高難度的聯(lián)網(wǎng)及安全性問(wèn) 題 今天 Juniper網(wǎng)絡(luò)公司通過(guò)以下努力 幫助全球客戶(hù)轉(zhuǎn)變他們的網(wǎng)絡(luò)經(jīng)濟(jì)模式 從而建立強(qiáng)大的競(jìng)爭(zhēng)優(yōu)勢(shì) 保護(hù)網(wǎng)絡(luò)安全 以抵御日益頻繁復(fù)雜的攻擊 利用網(wǎng)絡(luò)應(yīng)用和服務(wù)來(lái)取得市場(chǎng)競(jìng)爭(zhēng)優(yōu)勢(shì) 為客戶(hù)和業(yè)務(wù)合作伙伴提供安全的定制方式來(lái)接入遠(yuǎn)程資源 Juniper網(wǎng)絡(luò)公司通過(guò)其專(zhuān)用平臺(tái)及先進(jìn)軟件 推動(dòng)業(yè)界邁出了創(chuàng)新的一步 Juniper網(wǎng)絡(luò)公司被公認(rèn)是開(kāi)發(fā)用于高性能智能網(wǎng)絡(luò)的半導(dǎo)體及軟件的佼佼者 一直走在 業(yè)界創(chuàng)新的前沿 并通過(guò)這些創(chuàng)新不斷推動(dòng)其所支持的網(wǎng)絡(luò)及企業(yè)實(shí)現(xiàn)轉(zhuǎn)型 神州數(shù)碼控股有限公司概述神州數(shù)碼控股有限公司概述 神州數(shù)碼控股有限公司 以下簡(jiǎn)稱(chēng) 神州數(shù)碼 或 集團(tuán) 股票代碼 00861 香港 是中國(guó)領(lǐng)先的整合IT服務(wù)提供商 集團(tuán)由原聯(lián)想集團(tuán)分拆而來(lái) 并于二零零一年六月一日 在香港聯(lián)合交易所有限公司主板獨(dú)立上市 神州數(shù)碼致力于為中國(guó)用戶(hù)提供先進(jìn) 適用的 信息技術(shù)應(yīng)用 以科技驅(qū)動(dòng)工作與生活的創(chuàng)新 推進(jìn)數(shù)字化中國(guó)進(jìn)程 為此 集團(tuán)努力將 自身打造成為中國(guó)最廣大用戶(hù)提供最為全面IT服務(wù)的首選供貨商 集團(tuán)業(yè)務(wù)主要包括IT規(guī)劃 流程外包 應(yīng)用開(kāi)發(fā) 系統(tǒng)集成 硬件基礎(chǔ)設(shè)施服務(wù) 維 保 硬件安裝 分銷(xiāo)及零售等八類(lèi)業(yè)務(wù) 面向中國(guó)市場(chǎng) 為行業(yè)客戶(hù) 企業(yè)級(jí)客戶(hù) 中小 企業(yè)與個(gè)人消費(fèi)者提供全方位的IT服務(wù) 集團(tuán)在全國(guó)19個(gè)主要城市設(shè)有區(qū)域中心 同超過(guò)100家全球頂尖IT品牌擁有良好的戰(zhàn) 略合作伙伴關(guān)系 覆蓋全國(guó)超過(guò)1萬(wàn)家代理合作伙伴 為中國(guó)用戶(hù)提供最優(yōu)質(zhì)便捷的IT服 務(wù) 集團(tuán)依靠多年經(jīng)驗(yàn)積累的行業(yè)應(yīng)用服務(wù)能力 在金融 電信 政府等行業(yè)的IT服務(wù)領(lǐng) 域建立了領(lǐng)先優(yōu)勢(shì) 同時(shí) 神州數(shù)碼亦在IT產(chǎn)品分銷(xiāo)領(lǐng)域保持了多年市場(chǎng)第一的地位 神州數(shù)碼神州數(shù)碼企業(yè)系統(tǒng)本部企業(yè)系統(tǒng)本部 神州數(shù)碼企業(yè)系統(tǒng)本部是以企業(yè)數(shù)據(jù)中心建設(shè)為目標(biāo) 重點(diǎn)覆蓋網(wǎng)絡(luò) 主機(jī) 存儲(chǔ) 軟件4大業(yè)務(wù)領(lǐng)域 致力于為客戶(hù)提供國(guó)際上主流的企業(yè)級(jí)軟硬件產(chǎn)品 骨干網(wǎng)絡(luò) 基礎(chǔ) 網(wǎng)絡(luò)設(shè)備和全面產(chǎn)品解決方案 自 1997 年率先進(jìn)入高端增值服務(wù)市場(chǎng) 經(jīng)過(guò)不斷的探索和努力 增值服務(wù)業(yè)務(wù)取得 了高速增長(zhǎng) 是國(guó)內(nèi)第一的增值服務(wù)提供商 目前已成為神州數(shù)碼集團(tuán)重要利潤(rùn)支柱之一 與近 50 家國(guó)際著名 IT 廠商建立長(zhǎng)期戰(zhàn)略合作伙伴關(guān)系 合作的渠道伙伴超過(guò) 4500 家 目前已搭建由渠道市場(chǎng) 產(chǎn)品市場(chǎng) 解決方案及行業(yè)市場(chǎng) 技術(shù)支持 維修支持 培訓(xùn)支 持構(gòu)成的渠道支持系統(tǒng) 形成以北京 上海 廣州三大區(qū)域銷(xiāo)售中心 全國(guó)十五大平臺(tái) 八個(gè)辦事處為分銷(xiāo)平臺(tái)的銷(xiāo)售網(wǎng)絡(luò) 區(qū)域覆蓋達(dá) 40 余個(gè)地市 神州數(shù)碼系統(tǒng)網(wǎng)絡(luò)事業(yè)部神州數(shù)碼系統(tǒng)網(wǎng)絡(luò)事業(yè)部 神州數(shù)碼系統(tǒng)網(wǎng)絡(luò)事是全球領(lǐng)先的網(wǎng)絡(luò)和安全解決方案供應(yīng)商Juniper網(wǎng)絡(luò)公司的總 分銷(xiāo)商 是全球知名提供通訊服務(wù)的西門(mén)子公司在中國(guó)的總代理 是智能應(yīng)用交換機(jī)全球 領(lǐng)導(dǎo)者Radware公司和世界領(lǐng)先的下一代企業(yè)移動(dòng)系統(tǒng)供應(yīng)商Aruba無(wú)線網(wǎng)絡(luò)公司在中國(guó) 的總分銷(xiāo)商 同時(shí) 系統(tǒng)網(wǎng)絡(luò)事業(yè)部是Juniper Networks SPG產(chǎn)品在中國(guó)地區(qū)唯一的 授權(quán)認(rèn)證培訓(xùn)中心和最主要的授權(quán)服務(wù)中心 系統(tǒng)網(wǎng)絡(luò)事業(yè)部有遍布全國(guó)的銷(xiāo)售網(wǎng)絡(luò)和技術(shù)服務(wù)體系 一直致力于追蹤安全網(wǎng)絡(luò)領(lǐng) 域的新技術(shù) 構(gòu)建安全網(wǎng)絡(luò)聯(lián)盟體系 提供安全網(wǎng)絡(luò)產(chǎn)品及解決方案 推廣安全網(wǎng)絡(luò)的標(biāo) 準(zhǔn)化服務(wù) 為客戶(hù)提供 Juniper Networks從安全系列 防火墻 VPN 入侵檢測(cè)和防 御等一系列易于管理的安全設(shè)備和系統(tǒng) 到路由器 Infranet控制器和應(yīng)用加速平臺(tái)等 全線聯(lián)網(wǎng)和安全性產(chǎn)品及解決方案 Radware負(fù)載均衡和網(wǎng)絡(luò)安全防護(hù)產(chǎn)品及解決方案 Aruba由移動(dòng)控制器 接入點(diǎn)和Aruba移動(dòng)管理系統(tǒng)組成的移動(dòng)邊緣產(chǎn)品和解決方案 1 總體概述總體概述 本文檔為神州數(shù)碼公司編寫(xiě) 用于說(shuō)明Juniper SRX產(chǎn)品基本命令配置和硬件操作指導(dǎo) 更多的信息請(qǐng)參考下面的網(wǎng)站 JUNOS 9 6 SRX 硬件手冊(cè) 1 1 文檔術(shù)語(yǔ)文檔術(shù)語(yǔ) Air Filter空氣過(guò)濾網(wǎng) ESD Point靜電釋放點(diǎn) Fan Tray風(fēng)扇盤(pán) PEM Power Equipment Modules 電源模塊 Craft Interface控制面板 RE Routing Engine路由引擎 SFB Switch Fabric Board 交換矩陣板 PFE Packet Forwarding Engine 轉(zhuǎn)發(fā)引擎 FRU Field replaceable unit可現(xiàn)場(chǎng)更換部件 DPC Dense Port Concentrators 高密度接口卡 FPC Flexible PIC Concentrator 物理接口匯聚卡 PIC Physical Interface Card物理接口卡 SPC Services Processing Cards 業(yè)務(wù)處理卡 NPC Network Processing Cards 網(wǎng)絡(luò)處理卡 IOC Input Output cards 接口卡 SFP Small Factor Pluggable小型可插拔光收發(fā)器 適用千兆以太網(wǎng) 2 SRX 基本操作基本操作 JUNOS 軟件是專(zhuān)門(mén)為互聯(lián)網(wǎng)設(shè)計(jì)的第一種路由操作系統(tǒng) 它運(yùn)行在 Juniper 網(wǎng)絡(luò)公司 的所有 T 系列 M MX 系列和 J 系列路由器以及 SRX 系列集成安全網(wǎng)關(guān)上 被部署在全 球最大 增長(zhǎng)最迅速的網(wǎng)絡(luò)中 它提供的全套具有工業(yè)強(qiáng)度的路由協(xié)議 靈活的策略語(yǔ)言 和領(lǐng)先的功能特性 可以高效地?cái)U(kuò)展支持極大數(shù)量的網(wǎng)絡(luò)接口和路由 基于標(biāo)準(zhǔn)的 JUNOS 軟件可以支持互聯(lián)網(wǎng)路由協(xié)議 同時(shí)控制路由器及其接口并實(shí)現(xiàn)對(duì)各種規(guī)模的網(wǎng)絡(luò) 的系統(tǒng)管理 簡(jiǎn)便易用的界面使您可以配置路由協(xié)議和接口屬性 監(jiān)控路由 檢測(cè)并排除 協(xié)議和網(wǎng)絡(luò)連接故障 本節(jié)將描述設(shè)備的一些應(yīng)急操作 這些操作都會(huì)影響設(shè)備的正常功能 操作時(shí)請(qǐng)謹(jǐn)慎 使用 通過(guò) Console 線纜連接路由器 設(shè)備關(guān)閉 設(shè)備重啟 JUNOS 升級(jí) 密碼恢復(fù) 2 1 通過(guò)通過(guò) Console 線纜連接路由器線纜連接路由器 使用下面的步驟連接路由器的 Console 接口 1 準(zhǔn)備好 Juniper 路由設(shè)備自帶的 Console 線纜 2 將 Console 線纜的 DB9 插頭一頭插到 PC 或者筆記本電腦的 COM 口上 另外一 端插到 SRX 的的 CONSOLE 口上 SRX 的 console 口如下圖的標(biāo)號(hào) 5 的 RJ45 端 口 3 打開(kāi)計(jì)算機(jī)中的終端軟件工具 例如 SecureCRT 或者 Windows 自帶的超級(jí)終端 設(shè)置如下 端口 選擇第二步中 Console 線纜插入到 PC 上的端口 通常為 COM 1 或者 COM 2 波特率 9600 數(shù)據(jù)位 8 位 停止位 1 位 流控 無(wú) 4 打開(kāi)配置到的 SecureCRT 或者超級(jí)終端 按 Enter 鍵 屏幕出現(xiàn)登陸的提示 符 即連接成功 如果沒(méi)有顯示 請(qǐng)檢查線纜或者終端的配置是否正確 5 默認(rèn)用戶(hù)名和密碼為 用戶(hù)名 root 密碼為空 6 如果密碼丟失 可以按著前面板的 reset 按鈕 15 秒以上 然后設(shè)備會(huì)自動(dòng)重啟 并將所有配置恢復(fù)成出廠默認(rèn)值 此時(shí)的用戶(hù)名為 root 密碼為空 如果出現(xiàn)任何現(xiàn)場(chǎng)無(wú)法解決的問(wèn)題 請(qǐng)尋求 Juniper TAC 的幫助 參閱尋求 JTAC 幫 助 2 2 設(shè)備關(guān)閉設(shè)備關(guān)閉 Juniper 設(shè)備關(guān)閉必須按照下面的步驟進(jìn)行操作 否則容易導(dǎo)致設(shè)備損壞 1 用 Console 或 Telnet SSH 連接到主用路由引擎上 2 使用具有足夠權(quán)限的用戶(hù)名和密碼登陸 CLI 命令行界面 3 在提示符下輸入下面的命令 user host request system halt The operating system has halted Please press any key to reboot 4 等待 console 設(shè)備的出現(xiàn)上面的輸出 確認(rèn)設(shè)備軟件已經(jīng)停止運(yùn)行 5 關(guān)閉機(jī)箱背后電源模塊電源 如果出現(xiàn)任何現(xiàn)場(chǎng)無(wú)法解決的問(wèn)題 請(qǐng)咨詢(xún) Juniper TAC 的幫助 參閱尋求 JTAC 幫 助 2 3 2 3 設(shè)備重啟設(shè)備重啟 Juniper 設(shè)備重啟必須按照下面的步驟進(jìn)行操作 1 用 Console 或 Telnet SSH 連接到主用路由引擎上 2 使用具有足夠權(quán)限的用戶(hù)名和密碼登陸 CLI 命令行界面 3 在提示符下輸入下面的命令 user host request system reboot 4 等待 console 設(shè)備的輸出 確認(rèn)設(shè)備軟件已經(jīng)重新啟動(dòng) 如果要進(jìn)行電源關(guān)閉的重新啟動(dòng) 請(qǐng)參閱 設(shè)備關(guān)閉 在重新開(kāi)啟電源之前必須等待 60 秒 如果出現(xiàn)任何現(xiàn)場(chǎng)無(wú)法解決的問(wèn)題 請(qǐng)咨詢(xún) Juniper TAC 的幫助 參閱尋求 JTAC 幫 助 2 4 JUNOS 升級(jí)升級(jí) Juniper 設(shè)備在出廠時(shí)一般的設(shè)備軟件版本都比較低 因此一般建議使用比較新的版本 如 10 0 以上版本 軟件版本升級(jí)時(shí)不能跨過(guò) 3 個(gè)版本進(jìn)行 如 9 的需要升級(jí)到 10 0 以上 的 必須先升級(jí)到 9 6 再升級(jí)至 10 0 否則會(huì)提示升級(jí)失敗 Juniper 設(shè)備 JUNOS 軟件升級(jí)必須按照下面的步驟進(jìn)行操作 1 用 Console 或 Telnet SSH 連接到設(shè)備 console 上 2 下載新的 JUNOS 軟件 放置到 FTP 服務(wù)器上 3 安裝新的 JUNOS 軟件 這個(gè)升級(jí)過(guò)程大概為 15 25 分鐘 user host request system software add ftp username password 192 168 1 1 junos srxsme 9 6R2 11 domestic tgz no copy unlink 4 重新啟動(dòng)設(shè)備 user host request system reboot Reboot the system yes no no yes 如果出現(xiàn)任何現(xiàn)場(chǎng)無(wú)法解決的問(wèn)題 請(qǐng)尋求 Juniper TAC 的幫助 參閱尋求 JTAC 幫 助 2 5 密碼恢復(fù)密碼恢復(fù) 如果設(shè)備的 Root 密碼丟失 而且沒(méi)有其他的超級(jí)用戶(hù)權(quán)限 那么就需要執(zhí)行密碼恢復(fù) 該操作需要中斷設(shè)備的正常功能 要進(jìn)行密碼恢復(fù) 請(qǐng)按照下面操作進(jìn)行 1 斷電后再加電以重新啟動(dòng)設(shè)備 在啟動(dòng)過(guò)程中 按住設(shè)備前的 reset 按鈕 15 秒以上再放手 則設(shè)備密碼及配置會(huì) 自動(dòng)恢復(fù)成出廠默認(rèn)配置 2 進(jìn)入配置模式 設(shè)置新的 root 密碼 root configure Entering configuration mode edit root set system root authentication plain text password New password Retype new password 3 重新啟動(dòng)后 設(shè)備恢復(fù)正常 3 SRX 基本管理配置介紹基本管理配置介紹 3 1 JUNOS CLI Shell 模式模式 用 root 用戶(hù)登錄時(shí) 先進(jìn)入的是 shell 模式 提示符為 必須輸入 cli 命 令后才能進(jìn)入用戶(hù)模式進(jìn)行對(duì)設(shè)備的操作 如果以非 root 用戶(hù)登錄 則直接進(jìn)入 用戶(hù)模式 用戶(hù)模式用戶(hù)模式 user host 用戶(hù)模式 在用戶(hù)模式下可以顯示SRX設(shè)備的配置 端口狀態(tài) 路由信息等 登錄到 SRX上即進(jìn)入路由器的用戶(hù)模式 Example BJ BJ JA NSN A 1 RE1 ttyp6 login NSN Password NSN BJ BJ JA NSN A 1 RE1 配置模式配置模式 user host 配置模式 通過(guò)在用戶(hù)模式使用edit命令進(jìn)入配置模式 Example NSN BJ BJ JA NSN A 1 RE1 edit Entering configuration mode master edit NSN BJ BJ JA NSN A 1 RE1 設(shè)置系統(tǒng)時(shí)間設(shè)置系統(tǒng)時(shí)間 user host set date YYYYMMDDhhmm ss 配置日期及時(shí)間 Example NSN BJ BJ JA NSN A 1 RE1 set date 201006061030 30 如果出現(xiàn)任何現(xiàn)場(chǎng)無(wú)法解決的問(wèn)題 請(qǐng)咨詢(xún) Juniper 相關(guān)工程師 或者尋求 Juniper TAC 的幫助 參閱尋求 JTAC 幫助 4 SRX 開(kāi)機(jī)配置過(guò)程開(kāi)機(jī)配置過(guò)程 4 1 SRX 硬件設(shè)備簡(jiǎn)介硬件設(shè)備簡(jiǎn)介 SRX 系列共有以下產(chǎn)品線 SRX 100 SRX 210 SRX 240 SRX 650 SRX 3400 3600 SRX 5600 5800 該產(chǎn)品線對(duì)應(yīng)目前的 SSG 系列的簡(jiǎn)單對(duì)照?qǐng)D為 Copyright 2009 Juniper Networks Inc 1 SRX Vs SSG 3 8 000 64K 500 175Mbps 175Kpps 450bps 4 x GE SSG 320 60M bps 0 2 000 16K 32K 256 65Mbps 60K PPS 650 Mbps 8 x FE SRX100Feature SSG 5 20SRX210SSG 140SRX240SSG 350 固固定定 I O 7 x 10 100 5 x 10 100 2 x GE 6 x FE2 x GE 6 x FE16 x GE4 x GE 防防火火墻墻性性能能160 Mbps750 Mbps350 Mbps1 5 Gbps550bps 防防火火墻墻 路路由由PPS30K PPS80K PPS100K PPS200K PPS225Kpps VPN性性能能40Mbps75Mbps100Mbps250Mbps225Mbps 并并發(fā)發(fā)IPsec VPN隧隧道道數(shù)數(shù)25 452561251 000500 并并發(fā)發(fā)會(huì)會(huì)話(huà)話(huà)數(shù)數(shù)8K 16K32K 64K48K64K 128K128K 每每秒秒新新建建會(huì)會(huì)話(huà)話(huà)數(shù)數(shù)2 8002 0008 000 15 0009 00012 500 附附加加插插槽槽0 21445 IPS性性能能80M bps250M bps Total MSRP 4 1 1 SRX 240 面板圖面板圖 4 1 2 SRX 210 面板圖面板圖 4 1 3 SRX 100 面板圖面板圖 4 2 SRX 安裝流程安裝流程 CLI 命令行命令行 對(duì)于路由器硬件 軟件 路由協(xié)議 網(wǎng)絡(luò)連接性的控制和故障檢查 JUNOS 的 CLI 命 令行是主要的使用工具 CLI 命令行可以顯示路由表信息 路由協(xié)議的信息 使用 ping 和 traceroute 工具體現(xiàn)的網(wǎng)絡(luò)連接信息 可以通過(guò)連接設(shè)備上的 CONSOLE ETHERNET AUX 口進(jìn)入 CLI 命令行接口 4 3 開(kāi)始配置開(kāi)始配置 根據(jù)此版本開(kāi)機(jī)配置可以實(shí)現(xiàn)小型分支機(jī)構(gòu)的網(wǎng)絡(luò)基本連通 內(nèi)網(wǎng)的私網(wǎng) 地址可以通過(guò)源 NAT 為外網(wǎng)接口地址訪問(wèn) Internet 4 3 1 開(kāi)機(jī)登錄開(kāi)機(jī)登錄 1 第一次開(kāi)機(jī)登錄用戶(hù)名為 root 密碼為空 如何連上 console 詳見(jiàn) System management docx Console 輸出如下 Amnesiac ttyu0 login root JUNOS 10 1R2 8 built 2010 05 11 05 02 14 UTC 2 登錄之后 我們?cè)?shell 模式下 輸入 cli 進(jìn)入用戶(hù)模式 然后輸入 configure 進(jìn)入配置模式 root root cli root root configure Entering configuration mode edit root 4 3 2清空默認(rèn)配置清空默認(rèn)配置 1 剛進(jìn)入配置模式下 通過(guò) show 命令可以看到設(shè)備原有的配置 這是初始默認(rèn) 配置 包括以后用 reset 鍵恢復(fù)配置 恢復(fù)出來(lái)的都是出廠默認(rèn)配置 此默認(rèn)配置對(duì) SRX 進(jìn)行了基本連通性的配置 其中 fe 0 0 0 為外網(wǎng)口 接廣 域網(wǎng)出口 fe 0 0 1 7 為內(nèi)網(wǎng)口 地位等同 接內(nèi)網(wǎng)交換機(jī) 同時(shí) 防火墻對(duì)內(nèi)網(wǎng) 開(kāi)啟 DHCP 服務(wù) 網(wǎng)段為 192 168 1 0 24 默認(rèn)策略放開(kāi)所有由內(nèi)到外的數(shù)據(jù) 拒絕所有從外到內(nèi)的主動(dòng)訪問(wèn) 2 一般情況下這份配置不要保留使用 為了方便日后故障排查 我們需要將其刪 除 重新配置 root delete This will delete the entire configuration Delete everything under this level yes no no yes 配置 root 根用戶(hù)密碼 這個(gè)必須配置 否則無(wú)法 commit 提交生效配置 root set system root authentication plain text password New password Retype new password root commit 4 3 3從所有配置清空后開(kāi)始配置從所有配置清空后開(kāi)始配置 1 配置 root 根用戶(hù)密碼 這個(gè)必須配置 否則無(wú)法 commit 提交生效配置 root set system root authentication plain text password New password Retype new password 2 配置 hostname edit root set system host name SRX100 3 配置時(shí)區(qū) edit root set system time zone GMT 8 4 配置登錄登錄權(quán)限及用戶(hù)名密碼 這里配置了一個(gè)名為 lab 權(quán)限為超級(jí)用戶(hù) 的登錄用戶(hù) Junos 系統(tǒng)的要求密碼最少為六位 而且必須包含字母和數(shù)字 set system login class super idle timeout 20 set system login class super permissions all set system login user lab class super set system login user lab authentication plain text password new password retype new password 5 配置 telnet web 管理服務(wù) 這個(gè)需要在將來(lái)的 zone 的配置中進(jìn)一步放行流 量 默認(rèn)情況下 系統(tǒng)禁止所有流量 在這里 針對(duì) fe 0 0 1 接口開(kāi)啟 web 管 理服務(wù) edit root set system services telnet root set system services web management http interface fe 0 0 1 6 配置接口地址 這里配置外網(wǎng)接口 fe 0 0 0 地址為 10 1 1 1 24 內(nèi)網(wǎng)接口 fe 0 0 1 地址為 192 168 1 1 24 對(duì)于 SRX210 對(duì)應(yīng)前兩個(gè)接口為千兆口 所以 端口命名為 ge 0 0 0 和 ge 0 0 1 其余的為 fe edit root set interfaces fe 0 0 0 unit 0 family inet address 10 1 1 1 24 edit root set interfaces fe 0 0 1 unit 0 family inet address 192 168 1 1 24 7 將接口放到對(duì)應(yīng)的 zone 中 這里是將 fe 0 0 0 放到 untrust zone fe 0 0 1 放 到 trust zone edit root set security zones security zone untrust interfaces fe 0 0 0 edit root set security zones security zone trust interfaces fe 0 0 1 8 在內(nèi)網(wǎng)區(qū)域 trust zone 內(nèi)放行系統(tǒng)管理的流量 默認(rèn)情況下 外網(wǎng)口禁止 telnet 和 web 管理的訪問(wèn)流量 edit root set security zones security zone trust host inbound traffic system services telnet edit root set security zones security zone trust host inbound traffic system services http 9 配置允許內(nèi)網(wǎng)到外網(wǎng)的流量和策略 edit root set security zones security zone trust host inbound traffic protocols all edit root set security policies from zone trust to zone untrust policy trust to untrust match source address any edit root set security policies from zone trust to zone untrust policy trust to untrust match destination address any edit root set security policies from zone trust to zone untrust policy trust to untrust match application any edit root set security policies from zone trust to zone untrust policy trust to untrust then permit 10 配置出口默認(rèn)路由 edit root set routing options static route 0 0 0 0 0 next hop 10 1 1 2 11 配置基于出口的源 nat 所有內(nèi)網(wǎng) ip 經(jīng)過(guò) fe 0 0 0 出口后的數(shù)據(jù)包 全部轉(zhuǎn)換 為 fe 0 0 0 的地址路由到公網(wǎng)上 edit root set security nat source rule set trust to untrust from zone trust edit root set security nat source rule set trust to untrust to zone untrust edit root set security nat source rule set trust to untrust rule source nat rule match source address 0 0 0 0 0 edit root set security nat source rule set trust to untrust rule source nat rule then source nat interface 12 提交配置 使當(dāng)前配置生效 寫(xiě)完配置一定要提交 否則配置不生效 edit root commit commit complete 5 常用故障診斷命令常用故障診斷命令 查看端口狀態(tài)查看端口狀態(tài) lab SRX show interfaces terse Interface Admin Link Proto Local Remote ge 0 0 0 up up ge 0 0 1 up down 查看路由表查看路由表 lab SRX show route terse inet 0 7 destinations 7 routes 7 active 0 holddown 0 hidden Active Route Last Active Both A Destination P Prf Metric 1 Metric 2 Next hop AS path 0 0 0 0 0 S 5 172 27 10 1 100 1 1 0 24 D 0 ge 0 0 9 0 查看查看 OSPF 鄰居關(guān)系鄰居關(guān)系 lab r1 show ospf neighbor Address Interface State ID Pri Dead 10 100 2 2 fe 0 0 0 12 Full 10 100 10 2 128 36 10 100 2 6 fe 0 0 0 13 Full 10 100 10 3 128 35 Ping lab srx ping 10 100 10 1 PING 10 100 10 1 10 100 10 1 56 data bytes 64 bytes from 10 100 10 1 icmp seq 0 ttl 61 time 4 967 ms lab srx ping 10 100 10 1 rapid PING 10 100 10 1 10 100 10 1 56 data bytes lab SRX run ping 10 100 10 1 rapid count 1000 size 1000 PING 10 100 10 1 10 100 10 1 1000 data bytes 1000 packets transmitted 1000 packets received 0 packet loss round trip min avg max stddev 4 746 7 515 322 176 15 056 ms Traceroute lab srx traceroute 10 100 10 1 traceroute to 10 100 10 1 10 100 10 1 30 hops max 40 byte packets 1 10 100 3 13 10 100 3 13 158 691 ms 186 093 ms 106 141 ms 2 10 100 10 1 10 100 10 1 4 935 ms 7 819 ms 5 172 ms 監(jiān)控接口流量監(jiān)控接口流量 lab srx monitor interface fe 0 0 1 監(jiān)控監(jiān)控 RE CPU 利用率利用率 lab srx show chassis routing engine 監(jiān)控并發(fā)會(huì)話(huà)數(shù)監(jiān)控并發(fā)會(huì)話(huà)數(shù) lab srx show security flow session summary 冷卻系統(tǒng)故障檢查冷卻系統(tǒng)故障檢查 冷卻系統(tǒng)包含安裝在機(jī)箱側(cè)面的風(fēng)扇盤(pán)來(lái)保證 SRX 工作在一個(gè)可以接受的溫度環(huán)境下 要檢查風(fēng)扇盤(pán) 執(zhí)行下面的步驟 通過(guò) CLI 命令行檢查電源模塊狀態(tài) 通過(guò)下面的命令 觀察輸出的 Status 域的狀 態(tài) user host show chassis environment 如果有風(fēng)扇盤(pán)發(fā)生故障 可以通過(guò)觀察判斷出哪一個(gè)風(fēng)扇除了問(wèn)題 然后再處理 機(jī)箱硬件組件故障檢查機(jī)箱硬件組件故障檢查 對(duì)機(jī)箱組件進(jìn)行故障檢查 使用下面的指導(dǎo) 通過(guò)查看各板卡上相應(yīng)的 LED 可以檢查出相應(yīng)板卡的狀態(tài) 使用 CLI 可以查看各板卡的狀態(tài) 使用下面的命令 user host show chassis hardware 6 設(shè)備日常維護(hù)設(shè)備日常維護(hù) 本章節(jié)描述了如何維護(hù) SRX 中的各種硬件組件 日常維護(hù)步驟日常維護(hù)步驟 為優(yōu)化設(shè)備的性能 有規(guī)律的執(zhí)行下面的預(yù)防步驟 檢查設(shè)備所在的機(jī)房的條件 濕度 電源線 數(shù)據(jù)線纜以及空氣過(guò)濾網(wǎng)是否有過(guò) 多的灰塵 同時(shí)應(yīng)保證路由器的通風(fēng)條件 設(shè)備本身的進(jìn)出風(fēng)口沒(méi)有距離過(guò)近的 阻擋 檢查設(shè)備 Craft Interface 上的狀態(tài)報(bào)告 看看是否有系統(tǒng)告警 LED 顯示是否正 常 配置文件查看配置文件查看 配置文件可從維護(hù)模式 提示符 下查看 lab SRX show configuration 配置文件也可從配置模式 提示符 下查看 注意配置模式下看得配置文件是當(dāng)前正在編 輯的配置文件 跟系統(tǒng)當(dāng)前運(yùn)行的配置文件不一定一致 lab SRX show JUNOS 默認(rèn)情況下用層次化的結(jié)構(gòu)來(lái)顯示配置 不同層次間用 區(qū)分 如果管理員習(xí) 慣看直接輸入的命令格式 可以通過(guò)管道符把輸出送到 display options 里去改變格式 比 如 lab SRX show configuration display set 配置文件提交配置文件提交 每次配置更改后都需要 commit 提交 7 SRX 常用功能及典型配置常用功能及典型配置 安全策略是在 SRX 上定義的一系列規(guī)則告訴 SRX 如何處理在各個(gè)安全域 zone 之間或 同一安全域內(nèi)各個(gè)接口之間轉(zhuǎn)發(fā)的報(bào)文應(yīng)該如何處理 比如對(duì)其進(jìn)行轉(zhuǎn)發(fā) permit 丟棄 deny NAT IPsec VPN 加解密 IPS 入侵防御檢查或防病毒檢查等等 7 17 1 SRXSRX 常用功能配置常用功能配置 7 1 1 安全域安全域 zone 配置配置 Zone 是共享相同安全級(jí)別的一組網(wǎng)絡(luò)接口的集合 SRX3K 5K 的所有接口默認(rèn)都放在 null zone 內(nèi) Null zone 是一種系統(tǒng)預(yù)定義的特殊的安全域 null zone 內(nèi)的接口不能接受外 界的任何報(bào)文 也不能對(duì)外發(fā)送任何報(bào)文 即 null zone 內(nèi)的接口是不參與業(yè)務(wù)轉(zhuǎn)發(fā)的 因 此要配置安全策略 必須先創(chuàng)建 zone 并把接口分配到相應(yīng)的 zone 里去 配置舉例 1 創(chuàng)建安全域 zone set security zones security zone trust set security zones security zone untrust 2 分配接口到相應(yīng)安全域 zone set security zones security zone trust interfaces ge 0 0 0 0 set security zones security zone untrust interfaces ge 0 0 1 0 每個(gè)安全域都有自己的一套自定義屬性 包括是否允許接受管理流量 接受那些類(lèi)型 的管理流量 是否接受路由信令 接受那些路由信令等 這些都是在 security zone 下面相 應(yīng) zone 的 host inbound traffic 里配置 SRX 自己發(fā)出去的流量是不受限制的 配置舉例 3 允許 trust zone 接受 telnet ssh 管理流量 set security zones security zone trust host inbound traffic system services ssh set security zones security zone trust host inbound traffic system services telnet 4 允許 trust zone 接受 ospf bgp 路由信令 set security zones security zone trust host inbound traffic protocols ospf set security zones security zone trust host inbound traffic protocols bgp 每個(gè) zone 還可以定義自己的 DDoS 防護(hù)選項(xiàng) 這是通過(guò) Screen 配置來(lái)實(shí)現(xiàn)的 7 1 2 安全域安全域 zone 的地址本配置的地址本配置 SRX 安全策略里不能直接使用 IPv4 IPv6 的 prefix 作為策略匹配的源地址和目標(biāo)地址 必須先在相關(guān) zone 的地址本里創(chuàng)建地址本對(duì)象 再在安全策略里引用這些對(duì)象 配置舉例 set security zones security zone trust address book address internal 192 168 1 0 24 192 168 1 0 24 set security zones security zone untrust address book address webserver 202 1 1 1 32 address book 還支持創(chuàng)建 address set 來(lái)包含多個(gè)離散的地址 以方便策略引用 7 1 3 application 配置配置 SRX 安全策略里不允許直接使用協(xié)議號(hào) 源端口 目標(biāo)端口來(lái)匹配業(yè)務(wù)應(yīng)用 只能使 用 application 下系統(tǒng)預(yù)定義的應(yīng)用類(lèi)型或用戶(hù)自定義的業(yè)務(wù)類(lèi)型 系統(tǒng)預(yù)定義的業(yè)務(wù)類(lèi)型 名字都是以 junos 開(kāi)頭的 Application 同樣允許通過(guò)定義 application set 來(lái)包含多個(gè) application 以方便策略引用 配置舉例 set applications application http8080 protocol tcp set applications application http8080 source port 1 65535 set applications application http8080 destination port 8080 7 1 4 安全策略配置安全策略配置 SRX 的安全策略配置里必須包含以下要素 From zone To zone Policy name Match source address Match destination address Match application Then action permit deny log idp policy 等等 配置舉例 set security policies from zone trust to zone untrust policy 1020 match source address internal 192 168 1 0 24 set security policies from zone trust to zone untrust policy 1020 match destination address webserver set security policies from zone trust to zone untrust policy 1020 match application http8080 set security policies from zone trust to zone untrust policy 1020 match application junos http set security policies from zone trust to zone untrust policy 1020 then permit set security policies from zone trust to zone untrust policy 1020 then log session close 7 1 5 SRX NAT 配置介紹配置介紹 SRX 的 NAT 配置與 ScreenOS 顯著不同 為保證系統(tǒng)的靈活性 SRX 把 NAT 配置從 安全策略里剝離出來(lái) 單獨(dú)成為一個(gè)層次 即在 SRX JUNOS 中安全策略只負(fù)責(zé)控制業(yè)務(wù) 數(shù)據(jù)的轉(zhuǎn)發(fā)與否 NAT 策略只控制業(yè)務(wù)數(shù)據(jù)的源地址和端口的翻譯規(guī)則 兩者各自獨(dú)立 SRX 的 NAT 配置分為源地址翻譯 source NAT 目標(biāo)地址翻譯 destination NAT 和靜態(tài) 地址翻譯 static NAT 三種 其配置語(yǔ)法都類(lèi)似 只是 nat rule 必須被放到 rule set 里使用 任意兩個(gè) zone 或任意兩個(gè)網(wǎng)絡(luò)邏輯接口之間只允許有一個(gè) rule set 值得注意的是值得注意的是 SRX 不會(huì)自動(dòng)為不會(huì)自動(dòng)為 NAT 規(guī)則生成規(guī)則生成 proxy arp 配置 因此如果配置 因此如果 NAT 地址地址 翻譯之后的地址跟出向接口地址不同但在同一網(wǎng)絡(luò)內(nèi)時(shí) 必須手工配置相應(yīng)接口翻譯之后的地址跟出向接口地址不同但在同一網(wǎng)絡(luò)內(nèi)時(shí) 必須手工配置相應(yīng)接口 proxy arp 以代理相關(guān)以代理相關(guān) IP 地址的地址的 ARP 查詢(xún)回應(yīng) 否則下一條設(shè)備會(huì)由于不能通過(guò)查詢(xún)回應(yīng) 否則下一條設(shè)備會(huì)由于不能通過(guò) ARP 得到得到 NAT 地址的地址的 MAC 地址而不能構(gòu)造完整的二層以太網(wǎng)幀頭導(dǎo)致通信失敗 地址而不能構(gòu)造完整的二層以太網(wǎng)幀頭導(dǎo)致通信失敗 配置舉例 set security nat source rule set src nat from zone trust set security nat source rule set src nat to zone untrust set security nat source rule set src nat rule src 1 match source address 192 168 1 0 24 set security nat source rule set src nat rule src 1 then source nat interface set security nat destination pool 10 26 105 172 p1812 address 10 26 105 172 32 set security nat destination pool 10 26 105 172 p1812 address port 1812 set security nat destination rule set dst nat from zone ggsn set security nat destination rule set dst nat rule 30 match destination address 10 0 0 173 32 set security nat destination rule set dst nat rule 30 match destination port 1645 set security nat destination rule set dst nat rule 30 then destination nat pool 10 26 105 172 p1812 set security nat destination rule set dst nat rule 40 match destination address 10 0 0 173 32 set security nat static rule set static from zone cmnet set security nat static rule set static rule static 10 match destination address 211 0 0 27 32 set security nat static rule set static rule static 10 then static nat prefix 10 26 105 170 32 set security nat proxy arp interface fe 0 0 1 0 address 211 0 0 27 32 set security nat proxy arp interface fe 0 0 00 0 address 10 0 0 173 32 7 27 2 SRX 一個(gè)典型配置一個(gè)典型配置 此配置包括以下內(nèi)容 1 定義登錄的用戶(hù)名 密碼及 idle 時(shí)間 2 配置 Static NAT Src NAT Dst NAT 3 配置 ALG Application 4 配置 Base route VPN Base policy VPN OSPF 5 做 flow 的 debug 跟蹤 1 配置主機(jī)名 服務(wù)及登錄用戶(hù)名密碼 set system host name srx 1 set system root authentication plai